中危 debian_10 neutron 未加控制的资源消耗（资源穷尽）

CVE编号

CVE-2022-3277

利用情况

暂无

补丁情况

官方补丁

披露时间

2022-08-29

漏洞描述

An uncontrolled resource consumption flaw was found in openstack-neutron. This flaw allows a remote authenticated user to query a list of security groups for an invalid project. This issue creates resources that are unconstrained by the user's quota. If a malicious user were to submit a significant number of requests, this could lead to a denial of service.

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://bugs.launchpad.net/neutron/+bug/1988026
https://bugzilla.redhat.com/show_bug.cgi?id=2129193

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	openstack	neutron	*		Up to (excluding) 18.6.0
	运行在以下环境
	应用	openstack	neutron	*	From (including) 19.0.0	Up to (excluding) 19.5.0
	运行在以下环境
	应用	redhat	openstack_platform	13.0	-
	运行在以下环境
	应用	redhat	openstack_platform	16.1	-
	运行在以下环境
	应用	redhat	openstack_platform	16.2	-
	运行在以下环境
	系统	debian_10	neutron	*		Up to (including) 13.0.7+git.2021.09.27.bace3d1890-0+deb10u1
	运行在以下环境
	系统	debian_11	neutron	*		Up to (including) 17.2.1-0+deb11u1
	运行在以下环境
	系统	debian_12	neutron	*		Up to (including) 21.0.0-7
	运行在以下环境
	系统	debian_sid	neutron	*		Up to (including) 23.0.0-2
	运行在以下环境
	系统	ubuntu_18.04	neutron	*		Up to (excluding) 2:12.1.1-0ubuntu8.1
	运行在以下环境
	系统	ubuntu_20.04	neutron	*		Up to (excluding) 2:16.4.2-0ubuntu6.2
	运行在以下环境
	系统	ubuntu_22.04	neutron	*		Up to (excluding) 2:20.3.0-0ubuntu1.1

阿里云评分 4.3

• 攻击路径 本地
• 攻击复杂度 困难
• 权限要求 普通权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 N/A

CWE-ID	漏洞类型
CWE-400	未加控制的资源消耗（资源穷尽）

Exp相关链接

- avd.aliyun.com